인터넷뱅킹 사고: 은행책임 인가, 고객책임 인가?
2009.3.21
Kazian 님께서 댓글로 문의하신 내용은 많은 분들께서 궁금해 하시는 것이라는 생각이 들어, 별도의 글로 적습니다.
질문의 요지는 “은행이 제공하는 보안 프로그램을 사용하지 않고 개인 보안 프로그램을 사용하다가 보안 사고가 발생했을 시 책임 주체는 은행인가, 고객인가?” 라는 것입니다.
제가 가진 법률지식 범위 내에서 말씀드리면 다음과 같습니다.
전자금융거래에서 발생한 사고로 고객에게 손해가 생긴 경우, 개인 고객인 경우에는 금융기관이 그 고객에게 “고의나 중대한 과실”이 있다는 점을 입증하면, 금융기관이 배상책임을 면하고, 그렇지 않으면 금융기관이 배상해야 합니다.
실제로 고의나 중대한 과실은 무한히 다양한 형태, 유형으로 저질러질 수 있으나, 그 모든 경우에 금융기관이 배상책임을 면하는 것은 아닙니다. 금융기관을 면책시키는 고객의 고의나 중대한 과실은 i) 접근매체(인증서/보안카드 등)를 고객이 제3자에게 제공하거나, ii) 해커가 고객의 접근매체를 입수하여 거래를 할 수 있는 상황이라는 것을 고객이 “쉽게 알 수 있었음에도” 자신의 접근매체를 누설, 노출, 방치한 경우에 한하며, 이런 내용이 은행과 고객 간의 전자금융거래 약관에 미리 기재되어 있어야 합니다.
이상은 관련 규정에 적힌 내용입니다.
질문하신 분이 실제로 궁금해 하시는 내용은 “금융기관이 제공하는 보안프로그램을 설치하지 않는 행위”가 과연 위 ii)에서 말하는 “중대한 과실”에 해당하는가? 라는 것이겠지요.
설치하지 않으면 무조건 “중대한 과실”이라는 주장을 은행이 제기하기는 하겠지만, 성공 가능성은 높지 않습니다. 이미 자신이 다른 수단으로 자기 컴퓨터를 안전하게 관리하고 있기 때문에 그런 프로그램을 중복하여 설치할 필요가 없어서 설치하지 않은 경우라면 “중대한 과실”은 커녕, 경미한 과실도 있다고 보기 어려울 것입니다.
물론, 금융기관이 제공하는 보안 프로그램이 “탁월한 성능”을 가진 불세출의 “명품” 프로그램이라면 이야기가 달라지겠으나, 저급한 판촉물 수준의 “공짜 샘플 프로그램”에 불과하다면, 이런 프로그램을 설치해 놓고 평소 다른 웹사이트에 방문했을 때 보안경고창에서 마구 ‘예’를 눌러댄 이용자라면 (중대한) 과실이 있다고 인정될 여지가 있습니다.
그러나, 금융기관이 지금껏 제공한 보안프로그램은 웹브라우저 플러그인 형태로 구동되는 것이므로, 평소 다른 웹사이트에 방문할 때는 작동조차 하지 않습니다. 따라서 이들 보안 프로그램은 고객이 자기 컴퓨터를 주의깊게 관리하는지 여부를 판단하는데는 별다른 기술적 관련성도 없습니다. 그 이유는 다음과 같습니다:
- 금융기관 사이트로부터 직접 해킹을 당하는 이용자는 없고, 해킹은 다른 웹사이트에 접속하거나, 이메일 등으로 전달되는 파일에 숨겨진 악성프로그램을 통하여 이루어집니다.
- 그러나 다른 웹사이트에 접속해 있거나, USB memory stick 이나 이메일 프로그램등을 사용하는 동안에는 금융기관이 주는 보안프로그램은 애초에 작동하지도 않게 되어 있습니다. 금융기관이 주는 프로그램은 금융기관 사이트에 접속해 있는 동안에만 작동하도록 설계된 것입니다.
따라서, 금융기관이 주는 보안프로그램을 설치했는지 여부가 금융사고 발생 시에 배상책임을 누가 지는지를 결정하는 것은 아닙니다. 그걸 설치한다고 해서 과실이 없어지는 것도 아니고, 설치 안한다고 해서 과실이 있게 되는 것도 아닙니다.
금융기관이 이용자에게 “설치하지 않을 경우 모든 책임을 이용자가 지겠다”고 서약하게 하거나, 그런 내용을 아예 약관에 규정하고 있을 경우, 그것은 법적인 효력이 있는가? 라는 의문을 가지시는 분도 있을 것입니다. 그런 서약이나, 약관 규정은 효력이 없습니다.
약관은 사업자가 일방적으로 마련하는 것입니다. 그 약관이 효력을 인정받으려면, 법령에 어긋나지 않아야 하고, 고객에게 책임을 부당하게 전가하는 내용이 없어야 하며, 합리적이어야 합니다(약관 규제법). 전자금융거래법은 이미 고객이 어떤 경우에 책임을 져야하는지를 규정하고 있습니다(위에서 설명드린 내용이 바로 그것입니다). 이 법규정보다 고객에게 더 불리한 내용의 약관은 무효입니다.
개별 약정의 경우에는 조금 다르게 평가해야 하지만, 모든 책임을 지겠다는 별도 약정을 일방적으로 요구하고, 그 별도 약정을 하지 않으면 거래를 거부하는 상황이라면, 그런 약정 또한 아무 효력이 없습니다.
전자금융 감독규정 시행세칙은 “고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능”이라는 단서 조항을 포함하고 있는데, 이 조항 역시 위에 설명한 전자금융거래법 규정에 어긋나는 한도에서는 효력이 없습니다. 금감원이 시행세칙을 만들 수 있는 권한은 국회가 부여한 것입니다. 금감원은 국회가 제정한 법률(상위법)에 어긋 나는 내용을 시행세칙으로 정하여 상위법을 뒤집을 수는 없습니다. 물론, 국회가 요즘 워낙 “개판”이니까, 금감원이 국회를 마구 무시하고 시행세칙으로 법률을 바꿀 수 있다는 생각도 들겠지만, 그런 말을 법원에서 하기는 좀 그렇지요…
은행이, “우리가 주는 보안프로그램을 설치/이용하기만 하면 모든 책임을 우리가 지겠다”고 약관에 규정하거나, 개별 약정을 할 경우, 그러한 약정은 효력이 인정될 것입니다. 고객에게 불리하지 않다고 평가될 여지가 많기 때문입니다. 그러나, 은행은 그런 약속을 한적도 없고, 하지도 않습니다. 따라서, 사고가 터지면, 고객이 보안프로그램을 설치/이용했건 안했건, 은행은 일단 책임을 무조건 부인합니다. 그 대표적 사례는 여기. “우리는 보안프로그램을 설치하라고만 했지, 책임을 지겠다고 한적은 없다”는 것입니다. 누구 책임인지는 따져봐야 안다는 것입니다(법률가들이 원래 이런 측면이 있습니다).
따라서, 법률상으로는 “보안프로그램 설치 여부”가 배상책임의 소재를 결정짓는 것은 아닙니다. 이 규정은 그동안 몇몇 국내 보안업체들이 금융기관들을 상대로 “땅짚고 헤엄치기” 장사를 할 수 있도록 하고(은행을 통하여 자기 브랜드를 선전하는 판촉 샘플을 뿌리면서 은행으로부터 돈을 받아 챙기는 신나는 구도입니다), 세계적 수준의 제대로 된 보안 업체들이 한국 시장에 아예 발을 못붙이게 진입장벽을 만드는 용도로 사용되어 온 것입니다.
그리고 많은 고객들이 “공짜 샘플 프로그램” 몇개를 설치해 두고는 마치 “예방 주사”를 맞은 것처럼 착각하게 만들 뿐 아니라, 고객들에게 “보안경고창이 나타나면 반드시 예”하도록 반복 학습/세뇌 시킴으로써 바이러스가 창궐하는데 이상적인 환경을 만들어 왔습니다(의도하였건, 아니건).
바이러스를 “예방”하는 프로그램은 없습니다; 이미 감염된 경우에, 그것도 널리 알려진 바이러스 프로그램만을 검색하여 제거하는 것이 안티바이러스 프로그램입니다. 따라서 “백신(vaccine)”이라는 말은 사기(fraud)입니다. 면역력을 주는 것이 아니기 때문입니다. 여기 참조. 정확하고 정직하게 표현하면, 이용자 컴퓨터에 혹시 널리 알려진 바이러스가 있는지를 스캔하는 프로그램입니다. 알려지지 않은 바이러스? 많은지 적은지는 아무도 모르겠지요, 알려지지 않았으니. 함부로 “예”하지 않는 것만이 올바른 컴퓨터 관리법입니다.
진정으로 바이러스 확산을 막고 싶으면, 이용자들이 본격적인 안티바이러스 소프트웨어를 스스로 선택하여 내려받을 수 있도록 일목요연한 링크를 이렇게 제시하면 됩니다. 금융사이트에 접속해 있는 동안만 실행되고, 그 사이트를 벗어나는 순간 아무것도 모르는 이용자를 무방비 상태로 빠뜨리는 괴상망측한 프로그램을 강제 설치하면서, 보안경고창이 나타나면 “예”를 눌러 없애라는 식으로 안내하지 마십시오. 도대체 어쩌려고 그러셨습니까?
참고 글: “인터넷 뱅킹 사고를 막을 수 있는 최선의 방법” — http://skysummer.com
트랙백.
- No trackbacks yet.
-
-
피드 구독
- 아래 구독서비스를 이용하시면, 새로 게시되는 글을 직접 받아보실 수 있습니다.
이메일로 구독
#1 by AppleADay at March 22nd, 2009
보안업체들의 행태도 사기성이 있지만 금융기관들도 다소 사기성이 있지 않나 생각이 듭니다. 그 많은 금융기관들 중 단 하나도 깊게 연구하고 “이 방식은 아닌거 같다”라고 생각하고 줏대있게 독자적인 방향으로 갈 생각을 안했다는 것이 정말 집단사고(group think)g의 전형적인 모습 같습니다. 남들이 다 하니까 (홀로 서면 왠지 불안하니까), 남들이 다 하는 거 안하면 고객들이 (보안에 대해 잘 알지도 못하면서) 불안해 하고 오지 않을까바 덩달아 남들처럼 움직인 것 아닐까요? 불법행위인 줄 알면서도 경쟁업체가 한다는 이유로 정당화하는 것과 비슷하다고나 할까요. 사실은 자기도 확신이 없으면서 업체만 믿고, 남들 다 이렇게 하는 것 같으니까 (정부기관조차도 그렇게 하니까. 그러나 정부기관이라고 늘 100% 옳다는 법 있나요?) 정확한 검증을 하지도 않았으면서 말씀하신 것처럼 반은 책임회피용으로, 또 반은 전시용으로 그런 업체들의 “솔류션”을 받아들인 것 아닌가 생각이 듭니다. 그러한 무의미한 쇼를 해왔던 것도 반쯤 사기 아닐까요? 검증도 제대로 안 한 쓰레기 보안툴들을 강제로 배포하면서 효능이 있는 것 같은 인상을 소비자에게 준 것에 대해서는 최소한 중과실 책임을 져야 하는 것 아닐까요? 법적으로는 책임증명이 힘들겠지만 도덕적인 책음은 명백하지요.
#2 by viz at March 23rd, 2009
위 글의 핵심 논지-현 인터넷 뱅킹 시스템이 일반 사용자의 보안의식에 악영향을 미침-에 대해서 전적으로 동의합니다.
그런데 글의 내용 중 기술적으로 올바르지 않는 부분이 좀 있는 듯합니다.
1) 안티바이러스 프로그램은 바이러스를 “예방” 할 수 있습니다. 상식을 지키는 안티 바이러스 솔루션이면 모두 실시간 감시 기능이 존재하고 이 실시간 감시 기능을 사용하면 바이러스가 시스템에 침투하는 과정을 감지하여 막아낼 수 있습니다. 실제로 동작하는 모습을 보고 싶으시면 실시간 감시 기능을 활성화 시킨 후 아래 링크에 나오는 파일을 생성해 보시면 됩니다.
http://en.wikipedia.org/wiki/Eicar_test_file
물론 안철수 연구소 등 상업 백신 제작사들의 예전 공개 버전의 경우 실시간 감시 기능 없이 디스크 상의 바이러스 검색 기능만 있긴 했지만 요즘에는 세상이 좋아져서 공짜 백신도 다 이런 실시간 감시 기능을 제공합니다.
물론 (계속 언급한다고 해서 악감정이 있는 건 아닙니다만) 안연구소의 ActiveX 버전의 안티 바이러스 및 방화벽 프로그램(My firewall 혹은 최신의 AOS(Ahnlab Online Security)류의 프로그램은 실시간 감시가 있다고 해도 해당 사이트에 접속하는 중에만 기능이 동작하니 그 존재 의의가 아주 미미합니다. 그리고 오히려 사용자에게 자신의 컴퓨터가 언제나 보호된다는 잘못된 인식을 줄 수도 있으니.. 뭐 거의 절대 악.. 까지는 아니고 절대 불필요한 존재라고 볼 수 있겠네요.
2) 키보드 보안의 경우 위의 안티 바이러스와는 달리 시스템 자체 보다는 해당 사이트 상에서 발생하는 정보의 입력을 보호하는 것이 목적입니다. 그렇기 때문에 해당 사이트에서만 동작하도록 만든다고해서 꼭 말도 안된다고는 보기 힘듭니다. 게다가 공짜 보안 프로그램 중에는 키보드 보안을 지원하는게 없고.. 키보드 보안 프로그램을 사용함으로 인해서 초보적인 수준의 키로거를 상당부분 방지할 수 있는게 사실이기 때문에 일반 사용자들을 상대로 키보드 보안 프로그램 설치를 권장하는 것은 전혀 문제 없다고 생각합니다. 물론 권장하되 강요해서는 안되겠지만요.
#3 by mylinux03 at March 23rd, 2009
인터넷 브라우저 ‘장벽 없애기’
http://www.etnews.co.kr/news/detail.html?&mc=m_014_00002&id=200903200104
웹 표준 준수지침 고시를 통해 행정기관·지방자치단체의 신규 홈페이지는 웹 표준을 준수토록 한 바 있으나 기존 웹사이트까지 웹 표준을 지키게 하기 위한 조치다. 생략..
방송통신위원회는 IE 외의 타 브라우저에서도 인터넷뱅킹을 할 수 있도록 파이어폭스용 공인인증서에 이어 키보드보안 모듈 개발에 들어갔다. 생략..
좋은 소식입니다.
#4 by 오픈웹지지 at March 23rd, 2009
http://www.etnews.co.kr/news/detail.html?&mc=m_014_00002&id=200903200104
“방송통신위원회는 IE 외의 타 브라우저에서도 인터넷뱅킹을 할 수 있도록 파이어폭스용 공인인증서에 이어 키보드보안 모듈 개발에 들어갔다. 최근 파이어폭스에서도 사용할 수 있는 공인인증서를 개발했으나, 파이어폭스에서는 보안 모듈이 작동하지 않아 인터넷뱅킹을 사용할 수 없었다. 이를 해결하기 위해 방통위는 올 해 안에 키보드보안모듈을 여러 브라우저 용으로 개발토록 할 계획이다. 공인인증서도 브라우저에 상관없이 작동될 수 있도록 웹브라우저 구분없이 구현되는 모듈을 연내 적용할 예정이다.
오상진 방통위 과장은 “IE에 비해 파이어폭스 등 다른 브라우저 사용자는 아주 적은 수준이지만 보다 많은 사람들이 서비스를 이용할 수 있어야 한다는 차원에서 키보드 보안 모듈 등을 개발키로 했다”고 말했다.”
일단 환영할만한 일이기는 하지만, 내용을 보면 여전히 윈도우에 종속된 제품을 만들겠다는 느낌입니다. 액티브X가 파이어폭스 확장모듈모듈로 둔갑하는 게 아닐지 우려스럽습니다.
#5 by youknowit at March 23rd, 2009
viz/ 좋은 자료 감사드립니다.
“백신”은 우리 몸에 특정 세균(bacteria)에 대한 항체(anti-body)를 형성하여 그 세균이 침입하였을 때 그 번식과 생존을 우리몸이 스스로 막아낼 수 있도록 우리 몸에 미리 주입하는 것입니다. 백신을 맞고 나면, 해당 세균이 침입해도, 우리 몸이 스스로 방어해 내므로 “괜찮습니다”. 컴퓨터 바이러스에 대해서도, 많은 사람들이 바로 이런식으로 오해하도록 하는 것이 “백신 프로그램”이라는 용어입니다.
안티바이러스 프로그램은 백신과는 전혀 구조가 다릅니다. 악성 소프트웨어가 우리 컴퓨터에 실행되려는 순간, 그 직전에 이를 포착하여 이용자에게 “위험성”을 경고하는 기능이 있습니다. 이것이 중요한 보안경고인 셈입니다. 이때 보안경고를 무시하고 “실행” 또는 “설치”를 누르면 감염이 됩니다. 우리 컴퓨터에는 악성프로그램에 대한 면역력이 아예 존재할 수가 없습니다.
면역능력을 제공하지 않으면, 그것은 백신이 아닙니다.
손을 깨끗이 씻고, 감염체를 접촉하지 않으면 질병을 “예방”할 수 있습니다. 이것은 안티바이러스 프로그램이 이용자에게 제공할 수 있습니다. 그러나 , 이러한 예방 방법과 “예방 주사”(vaccination)는 완전히 다릅니다.
안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.
#6 by viz at March 23rd, 2009
youknowit / 제 입장에서는 안티 바이러스 프로그램을 백신에 비유하는 것은 매우 적절하다고 생각됩니다.
백신이 제공하는 항원-항체 반응과 안티 바이러스 프로그램이 제공하는 기능을 매우 유사한 매커니즘을 가지고 있습니다.
안티 바이러스 프로그램에 따라 다르지만 바이러스 발견시 경고를 표시할 수도 있고 조용히 삭제되도록 할 수 도 있습니다. 조용히 삭제를 선택하면 안티 바이러스 프로그램이 정상적으로 동작한다고 가정할 때 바이러스 프로그램이 컴퓨터 상(메모리, 파일 시스템 등)에 존재 하는 것을 방지할 수 있습니다. 이런 기능을 ‘면역’ 비유하는 것이 무엇이 문제가 되나요?
잘 아시겠지만 생물학적인 백신 역시 오직 알려진 바이러스 중 선택된 바이러스에 대해서만 면역을 제공할 수 있고 이는 현 안티바이러스 프로그램 동일합니다. 그리고 신체가 백신 없이도 스스로 면역력을 발휘하려는 것과 비슷하게 행동 기반으로 바이러스를 예측하여 방지하는 기능도 왠만한 안티 바이러스 프로그램에는 탑재되어 있습니다. (심지어 안철수연구소 제품에도 해당 기능이 있을 겁니다)
안연구소의 제품 중 My firewall 및 AOS 제품군은 충분히 비도덕적인 상품이라고 비난 할 수 있으나 이 글타래에서처럼 안티바이러스 솔루션 전체의 가치를 싸잡아 깍아 내리시는 것은 좋아 보이지 않습니다. 그리고 이런 잘못된 주장을 통해 교수님의 훌륭한 주장이 설득력을 잃게 되지 않을까 두렵네요.
#7 by youknowit at March 23rd, 2009
viz/ 선생님의 관점을 이제 더 잘 이해하게 됐습니다. 그렇게 보실 수 있겠습니다. 하지만, 저는 “백신”이라는 용어가 이용자에게 과장된 자신감을 불러일으킨다고 생각합니다. 저는 “백신”이라는 용어를 문제 삼는 것이지, 본격 안티바이러스 제품의 유용성을 의심하지는 않습니다.
#8 by 나그네 at March 23rd, 2009
youknowit/ “백신”이라는 용어가 어떻게 하여 우리나라에서 쓰이게 되었는지 알고 계신지 궁금합니다. 댓글 내용 중 “안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.”라고 하셨는데, 누가 누구에게 사기(詐欺)를 쳤다는 말처럼 들리는군요.
#9 by 나그네 at March 23rd, 2009
vis/ 말씀에 동의합니다. 하나 덧붙이자면 “키보드 보안 프로그램을 사용함으로 인해서 초보적인 수준의 키로거를 상당부분 방지할 수 있는게 사실이기 때문에..” 하셨지만 요즘의 키보드 보안 프로그램은 초보적인 수준의 키로거 이상의 대다수의 키로거 프로그램에 대해 방어하고 있습니다. 불과 1년전만 해도 초보적이라 말할만 했지만 그동안 국내 언더그라운드 해커의 지속적인 연구로 매우 많은 발전이 이루어졌다고 생각합니다.
#10 by youknowit at March 23rd, 2009
“백신”이라는 말을 우리나라에 널리 퍼뜨린 분이 누군지에 대하여 제가 아는 내용은 여기에 게시해 두었습니다. 수정하거나, 추가할 내용이 있으면 알려주시기 바랍니다.
보안업체들이 자기 제품을 다음과 같이 정확하게 안내하면, 사기라는 주장을 철회하고 모든 책임을 지겠습니다:
#11 by 오픈웹지지 at March 23rd, 2009
백신이라는 단어에 대한 댓글의 논쟁은 본래 글요지의 논지에서 벗어나는 듯합니다. 원래 글의 요지에서 벗어나서 핵심이 흐려지는 것 같기도 하구요. 이에 대한 논의는 별개로 말씀을 나누시는게 어떨지요?
#12 by Yi Jong at March 23rd, 2009
“만병통치약”치고 만병을 치료하는 것이 없고, “범용”치고 아무 곳에나 쓸 수 있는 것이 거의 없지요.
백신이라는 단어가 내포하고 있는 뉘앙스가 문제가 있긴 합니다만.. 다른 사례에서도 제품 이름으로 “뻥”을 치는 경우가 워낙 많다보니 어디까지를 받아들일 수 있는 기준으로 삼아야 할 지가 좀 난감하군요.
viz//
프리웨어 키보드 보안 프로그램이 있긴 합니다. KeyScrambler Personal(http://download.cnet.com/KeyScrambler-Personal/3000-2144_4-10571274.html) 이나 PeerGuardian 2(http://download.cnet.com/PeerGuardian/3000-2144_4-10438288.html?tag=mncol;pop) 등등이 있습니다.
#13 by 나그네 at March 23rd, 2009
youknowit/ “안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.”라는 주장과 제품 안내문을 수정하면 주장을 철회하겠다고 하시는 것은 앞뒤가 안맞는 것 같습니다. 저 역시 안철수님의 첫 안티 바이러스 프로그램의 이름으로부터 “백신”이라는 용어가 유래했다고 알고있습니다. 당시 그분이 의학에 몸담고 계셨기 때문에 “Vaccine” 이라는 프로그램명을 사용하신 것이 아닐까 추측해 볼 수 있는데, 이 프로그램이 사용자에게 널리 알려져 단어의 일반화 현상이 생긴 것일뿐 “백신”이라는 용어를 사용하는 것이 사기(詐欺)라고는 생각되지 않는다는게 제 생각입니다.
#14 by 타이레놀 at March 24th, 2009
붕어빵에 붕어가 없습니다.
이게 사기일까요?
안티바이러스를 백신이라 부른다고 사기일까요?
이건 정말 말장난이 될 수 있겠네요.
오픈웹을 지지하는 사람이지만 이건 좀 아닌 것 같네요.
중요한 오픈웹의 정신은 사라지고 폐쇄된 공간이 될까 걱정이네요.
오픈웹 초기 정신이 아쉽네요…
#15 by VongZa at March 24th, 2009
안티바이러스 프로그램의 이름으로서 백신3은 상관 없겠지만, 상품설명에 이것은 백신이다라고 해놓으면 오해의 소지가 있지 않을까요. 안티바이러스와 백신은 의미가 다르다고 볼 수 있으니까요.
#16 by RK at March 24th, 2009
“바나나 우유” (X) -> 실제로 바나나가 들어있지 않다.
“바나나맛 우유” (O)
뭐 이정도로 이해하시면 될듯 하네요.